Verwaltung von lokalen Benutzerkonten mithilfe des ZENworks-Arbeitsstations-Managers

Benutzer benötigen lokale Konten auf dem Terminalserver, um Anwendungen auf einem Terminalserver ausführen zu können. Für die dynamische Verwaltung von Benutzerkonten auf Terminalservern können Sie den Arbeitsstations-Manager (wird zusammen mit dem Desktop Management-Agenten installiert) und Benutzerrichtlinien einsetzen. Wenn Sie den Arbeitsstations-Manager verwenden möchten, führen Sie die Aufgaben in den folgenden Abschnitten durch. Wenn Sie den Arbeitsstations-Manager nicht verwenden möchten, finden Sie unter Verwaltung von lokalen Benutzerkonten mithilfe von Methoden ohne Nutzung von ZENworks weitere Möglichkeiten für die Benutzerverwaltung.


Novell Client und den Desktop Management-Agenten installieren

Novell Client und der Desktop Management-Agent müssen auf jedem Terminalserver installiert werden, auf dem ZENworks Terminalserverkonten dynamisch verwalten soll.

Der Desktop Management-Agent enthält die Komponente Arbeitsstations-Manager, mit der lokale Benutzerkonten dynamisch auf dem Terminalserver erstellt werden. Der Management-Agent nutzt Novell Client für die Beglaubigung bei Novell eDirectory und für den Zugriff auf die Richtlinie für dynamische lokale Benutzer.

  1. Laden Sie Novell Client 4.91 SP 1 (oder höher) von der Website Download von Novell Produkten herunter und installieren Sie den Client auf dem Terminalserver.

  2. Installieren Sie den Desktop Management-Agenten. Die Komponenten Arbeitsstations-Manager und Arbeitsstatonsverwaltung müssen unbedingt installiert werden; die anderen Komponenten sind optional.

    Informationen zum Installieren des Desktop Management-Agenten finden Sie in Installation und Konfiguration des Desktop Management-Agenten.


Arbeitsstations-Manager einrichten

ZENworks Desktop Management enthält eDirectory-Benutzerrichtlinien, mit denen Sie lokale Benutzerkonten und Profile auf Terminalservern problemlos verwalten können. Der auf dem Terminalserver ausgeführte Arbeitsstations-Manager wendet die Richtlinien an, wenn sich ein Benutzer bei dem Terminalserver anmeldet. Mithilfe der Schritte in diesem Abschnitt können Sie sicherstellen, dass der Arbeitsstations-Manager korrekt installiert und konfiguriert wird. Informationen zum Erstellen und Verwenden von Benutzerrichtlinien finden Sie unter Dynamische lokale Benutzerkonten einrichten.

Der Arbeitsstations-Manager wird als Teil der Installation des Desktop Management-Agenten installiert. Im Fenster "Services" können Sie überprüfen, ob der Arbeitsstations-Manager auf dem Terminalserver installiert wurde und ausgeführt wird.

Wenn Sie über mehrere eDirectory-Bäume verfügen, sollten Sie ebenfalls sicherstellen, dass der Arbeitsstations-Manager so konfiguriert ist, dass er Daten in dem eDirectory-Baum liest, in dem sich Ihre Benutzerobjekte befinden. Gehen Sie dabei wie folgt vor:

  1. Klicken Sie im Startmenü auf "Einstellungen" > "Systemsteuerung" > "Network Identity".

  2. Klicken Sie im Dialogfeld "Novell Network Identity" auf "Einstellungen".

  3. Überprüfen Sie, ob die Option "Arbeitsstations-Manager aktivieren" ausgewählt wurde und ob der Baum korrekt eingerichtet wurde.

  4. (Optional) Überprüfen Sie den Wert für Tree in der Windows-Registrierung. Dieser befindet sich unter dem Schlüssel HKEY_LOCAL_MACHINE/SOFTWARE/NOVELL/Workstation Manager/Identification.


Konfigurieren der Pass-Through-Beglaubigung

Zur Vereinfachung der Vorgehensweise beim Start von Terminalserveranwendungen stellt ZENworks Desktop Management die Pass-Through-Beglaubigung zur Verfügung. Bei der Pass-Through-Beglaubigung wird ein Benutzer beim Starten einer Terminalserveranwendung nicht zur Angabe von Benutzername und Passwort aufgefordert, sofern für das eDirectory-Konto und das Windows-Benutzerkonto derselbe Benutzername und dasselbe Passwort gelten.

Standardmäßig wird die Pass-Through-Beglaubigung automatisch während der Installation des Desktop Management-Agenten auf dem Terminalserver konfiguriert. Um sicherzustellen, dass die Konfiguration erfolgreich durchgeführt wurde, sollten Sie die folgenden Schritte durchführen:

  1. Aktivieren Sie auf dem Terminalserver die Einstellung "Anmeldeinformationen von Client verwenden" und deaktivieren Sie die Einstellung "Kennwort immer anfordern":

    1. Klicken Sie auf dem Terminalserver auf "Start" > "Programme" > "Verwaltung" > "Terminaldienstekonfiguration".

    2. Doppelklicken Sie auf einen Verbindungstyp (standardmäßig RDP-Tcp), um die Eigenschaften einzugeben.

    3. Aktivieren Sie auf der Registerkarte "Anmeldeeinstellungen" die Einstellung "Anmeldeinformationen von Client verwenden" und deaktivieren Sie die Einstellung "Kennwort immer anfordern".

    4. Wiederholen Sie Schritt 1.b und Schritt 1.c für jeden Verbindungstyp.

  2. Überprüfen Sie die Standardprofilkonfiguration für Novell Client auf dem Terminalserver:

    1. Klicken Sie auf dem Terminalserver mit der rechten Maustaste auf das Novell-Symbol ((N-Symbol) im Statusbereich der Taskleiste und klicken Sie dann auf "Novell Client-Eigenschaften".

    2. Klicken Sie auf die Registerkarte "Standortprofile".

    3. Wählen Sie in der Liste "Standortprofile" die Option "Standard" aus und klicken Sie dann auf "Eigenschaften", um das Dialogfeld "Eigenschaften von Standortprofil" zu öffnen.

    4. Wählen Sie in der Liste "Service" die Option "Anmeldedienst" aus, wählen Sie in der Liste "Service-Kopie" die Option "Standard" aus und klicken Sie dann auf "Eigenschaften" um das Dialogfeld "Novell-Anmeldung" anzuzeigen.

    5. Deaktivieren Sie die Option "Profil nach erfolgter Anmeldung speichern".

    6. Klicken Sie auf die Registerkarte "NDS".

    7. Wählen Sie im Feld "Baum" den eDirectory-Baum aus, in dem die Terminalserveranwendungen als Anwendungsobjekte konfiguriert sind.

    8. Löschen Sie alle Angaben aus den Feldern "Kontext" und "Server".

    9. Zum Speichern der Konfigurationseinstellungen klicken Sie wiederholt auf "OK", bis alle Dialogfelder geschlossen sind.


Dynamische lokale Benutzerkonten einrichten

Nachdem Sie den Arbeitsstations-Manager auf den Terminalservern installiert und konfiguriert haben, müssen Sie die Richtlinien aktivieren und konfigurieren, die die lokalen Benutzerkonten steuern. Die folgenden Abschnitte enthalten entsprechende Anweisungen:


Benutzerrichtlinienpaket erstellen

Mit den in einem Benutzerrichtlinienpaket enthaltenen Windows 2000-2003-Terminalserverrichtlinien können Sie lokale Benutzerkonten dynamisch verwalten. Sie können ein vorhandenes Benutzerrichtlinienpaket verwenden oder speziell für Windows 2000/2003-Terminalserverrichtlinien ein neues Benutzerrichtlinienpaket erstellen. Wenn Sie bereits über ein Benutzerrichtlinienpaket verfügen, das Sie verwenden möchten, fahren Sie mit dem Abschnitt Dynamische lokale Benutzerkonten konfigurieren fort. Erstellen Sie andernfalls mithilfe der folgenden Schritte ein neues Benutzerrichtlinienpaket:

  1. Klicken Sie in ConsoleOne mit der rechten Maustaste auf den Container, in dem Sie das Benutzerrichtlinienpaket-Objekt erstellen möchten, klicken Sie auf "Neu" und anschließend auf "Richtlinienpaket", um den Richtlinienpaketassistenten zu öffnen.


    Seite für die Richtlinienpaketauswahl im Richtlinienpaketassistenten

  2. Wählen Sie in der Liste "Richtlinienpakete" die Option "Benutzerpaket" aus und klicken Sie dann auf "Weiter".


    Seite mit dem Namen des Richtlinienpakets im Richtlinienpaketassistenten

    Der Name des Paketobjekts muss in dem Container, in dem dieses erstellt wird, eindeutig sein. Wenn Sie beabsichtigen, mehrere Benutzerrichtlinienpakete zu erstellen, sollten Sie einen möglichst aussagekräftigen Namen verwenden (z. B. Win2000/2003 TS-Benutzerpaket). Sie können die Richtlinie auch in demselben Container erstellen, in dem die Benutzer der Richtlinie gespeichert sind.

  3. Falls notwendig, ändern Sie den Objektnamen des Pakets und den Container, in dem es erstellt wird. Klicken Sie dann auf "Weiter".


    Übersichtsseite des Richtlinienpaketassistenten

  4. Aktivieren Sie auf der Übersichtsseite das Kontrollkästchen "Zusätzliche Eigenschaften definieren" und klicken Sie dann auf "Fertig stellen", um das Benutzerpaketobjekt zu erstellen und die Eigenschaftsseiten des Objekts anzuzeigen.


    Seite mit allgemeinen Richtlinien für ein Benutzerpaketobjekt

  5. Klicken Sie auf die Registerkarte "Richtlinien" und klicken Sie dann auf "Windows 2000/2003-Terminalserver", um die Seite mit Richtlinien für den Windows 2000/2003-Terminalserver anzuzeigen.


    Seite mit Windows 2000/2003-Terminalserverrichtlinien für ein Benutzerpaketobjekt

  6. Fahren Sie mit dem Abschnitt Dynamische lokale Benutzerkonten konfigurieren fort.


Dynamische lokale Benutzerkonten konfigurieren

Mit der Richtlinie für dynamische lokale Benutzer legen Sie fest, wie der Arbeitsstations-Manager Benutzerkonten auf dem Terminalserver erstellt.

  1. Aktivieren Sie auf der Plattformseite "Windows 2000/2003-Terminalserver" das Kontrollkästchen links neben der Richtlinie für dynamische lokale Benutzer und klicken Sie dann auf "Eigenschaften", um die Eigenschaftsseite für dynamische lokale Benutzer anzuzeigen.


    Eigenschaftsseite für dynamische lokale Benutzer

  2. Konfigurieren Sie die folgenden Felder:

    Dynamischen lokalen Benutzer aktivieren: Aktivieren Sie diese Option, damit der Arbeitsstations-Manager Benutzerkonten dynamisch erstellt.

    Eventuell vorhandenes Benutzerkonto verwalten: Aktivieren Sie diese Option, wenn der Arbeitsstations-Manager die Richtlinie für dynamische lokale Benutzer auf bestehende Benutzerkonten anwenden soll. Andernfalls bezieht sich diese Richtlinie nur auf neue Benutzerkonten.

    eDirectory-Berechtigungsnachweis verwenden: Aktivieren Sie diese Option, um eDirectory-Benutzernamen und -Passwörter für die lokalen Benutzerkonten zu verwenden. Wenn der eDirectory- und der Windows-Berechtigungsnachweis des Benutzers synchronisiert werden und die Pass-Through-Beglaubigung konfiguriert ist (wie unter Konfigurieren der Pass-Through-Beglaubigung erläutert), wird der Benutzer nicht zur Angabe eines Berechtigungsnachweises aufgefordert, wenn er eine Anwendung auf einem Terminalserver startet.

    Temporärer Benutzer (nach der Abmeldung entfernen): Aktivieren Sie diese Option, wenn das Konto eines Benutzers entfernt werden soll, nachdem dieser die Anwendung beendet hat und die Sitzung geschlossen wurde. Alle Benutzerkontodaten werden entfernt. Wenn Sie Benutzerprofile beibehalten möchten, können Sie zentral gespeicherte Profile konfigurieren. Entsprechende Anweisungen finden Sie unter "Richtlinie der Desktop-Standardeinstellungen für Windows (Benutzerpaket)" unter "Arbeitsstationsverwaltung" im ZENworks 6.5 Desktop Management-Verwaltungshandbuch.

    Mitglied von/Kein Mitglied von: Wählen Sie in der Liste "Kein Mitglied von" die Gruppe(n) aus, für die Sie Benutzer als Mitglied festlegen möchten, und klicken Sie dann auf "Hinzufügen". Durch die Gruppenmitgliedschaft werden die Zugriffsrechte eines Benutzers auf dem Terminalserver bestimmt. Wenn keine der enthaltenen Gruppen genau die Dateisystemrechte bietet, die Sie bestimmten Benutzerkonten zuweisen möchten, können Sie die Seite "Dateirechte" verwenden (Registerkarte "Dynamischer lokaler Benutzer" > Seite "Dateirechte").

  3. Klicken Sie zum Speichern Ihrer Änderungen und Schließen der Eigenschaftsseite für dynamische lokale Benutzer auf "OK".

  4. Fahren Sie mit dem Abschnitt Benutzerpaket mit Benutzern verknüpfen fort.


Benutzerpaket mit Benutzern verknüpfen

Bevor das Benutzerrichtlinienpaket wirksam wird, muss es mit Benutzern verknüpft werden.

  1. Wenn die Eigenschaftsseite des Benutzerpaketobjekts nicht geöffnet ist, klicken Sie mit der rechten Maustaste auf das Benutzerpaket und klicken Sie dann auf "Eigenschaften".

  2. Klicken Sie auf die Registerkarte "Verknüpfungen", um die Seite "Verknüpfungen" anzuzeigen.


    Seite "Verknüpfungen" im Benutzerpaketobjekt

  3. Klicken Sie auf "Hinzufügen", navigieren Sie zu den Benutzern, auf die Sie das Richtlinienpaket anwenden möchten, und wählen Sie sie aus. Sie können Benutzer, Gruppen oder Container hinzufügen.

  4. Wenn Sie alle Benutzer hinzugefügt haben, klicken Sie auf "OK", um die Informationen zu speichern.